공격자들의 C&C 서버 찾기...난이도 높지만 해커들에 피해 입히는 건 가능

요약 : 보안 외신 해커뉴스에 의하면 셰도우패드(Shadow Pad)라는 멀웨어와 연결된 C&C 서버 85개가 발견되고 또 공개되었다고 한다. 셰도우패드 운영자들이 2021년 9월부터 사용해 온 서버들로 보인다. 올해 10월 16일에 사용된 흔적도 발견됐다. 셰도우패드 운영자들이 최근까지 사용해 왔던 주력 공격 인프라가 노출된 것으로, 멀웨어 운영자 입장에서도 적잖은 타격이 될 것으로 예상된다. 셰도우패드는 플러그엑스(PlugX)라는 멀웨어의 후속작으로 알려져 있다.


배경 : 플러그엑스는 모듈 구성의 멀웨어로, 2015년부터 중국의 APT와 해킹 단체들 사이에서만 공유되던 공격 도구였다. 최근에는 팡골린8랫(Pangolin8RAT)이라는 멀웨어가 추가로 발견되기도 했는데, 이는 플러그엑스의 후속작인 셰도우패드의 변종 혹은 또 다른 후속작으로 보인다. 티안우(Tianwu)라는 해킹 그룹이 개발한 것으로 분석됐다.

말말말 : “공격자들의 C&C 서버를 찾는 건 건초 더미에서 바늘을 찾는 것과 같은 일입니다. 하지만 찾았을 때 공격 인프라에 손상을 줄 수 있어 효과가 대단히 높습니다. 앞으로 이러한 활동을 보다 수월하게 할 기술이 개발되고 향상되기를 기대합니다.” -VM웨어(VMware)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>